Microsoft-Sicherheitstools: Software Update Services (Teil 1)

Von Randy Franklin Smith

Viele Jahre haben Systemadministratoren nach einem Weg gesucht, ihr Netzwerk durch die automatische Verteilung von Sicherheitspatches auf alle Computer sicher zu halten. Microsoft bietet seit einigen Jahren das Windows Update an. Dieses Programm ist jedoch nur für Einzelnutzer oder kleinere Organisationen sinnvoll, da Möglichkeiten zur Bandbreitenverwaltung oder Features zum Testen und Verwalten von Updates fehlen. Für mittlere und große Organisation stellt Microsoft jetzt den Dienst Software Update Services (SUS) zur Verfügung. Dieser ist eines der ersten Ergebnisse des Strategic Technology Protection Program (STPP) und füllt eine klaffende Lücke in der Verwaltung und Sicherheit der Windows-Familie. Im ersten Teil dieses Artikels, eines Beitrags aus dem Magazin Security Administrator vom November 2002, zeigt Ihnen der Autor Randy Franklin Smith, wie SUS arbeitet und wie Sie die verschiedenen SUS-Komponenten installieren und konfigurieren. Hier gelangen Sie zum zweiten Teil dieses Artikels.

*
**
Links zu verwandten Themen
Engl. Originalversion dieses Artikels
**
Auf dieser Seite
SUS installieren und konfigurierenSUS installieren und konfigurieren
Die GrundlagenDie Grundlagen
SUS installierenSUS installieren
Den SUS-Server konfigurierenDen SUS-Server konfigurieren
Die AU-Clients installierenDie AU-Clients installieren
Die AU-Clients konfigurierenDie AU-Clients konfigurieren
Sparen Sie sich FußmärscheSparen Sie sich Fußmärsche

(Engl. Originaltitel: Software Update Services, Part 1)

SUS installieren und konfigurieren

Dieser Artikel stammt aus der Novemberausgabe 2002 des Security Administrator.

Viele Jahre haben Systemadministratoren nach einem Weg gesucht, ihr Netzwerk durch die automatische Verteilung von Sicherheitspatches auf alle Computer sicher zu halten. Microsoft bietet seit einigen Jahren das Windows Update an. Dieses Programm ist jedoch nur für Einzelnutzer oder kleinere Organisationen sinnvoll, da Möglichkeiten zur Bandbreitenverwaltung oder Features zum Testen und Verwalten von Updates fehlen.

Für mittlere und große Organisation stellt Microsoft jetzt den Dienst Software Update Services (SUS) zur Verfügung. Dieser ist eines der ersten Ergebnisse des Strategic Technology Protection Program (STPP) und füllt eine klaffende Lücke in der Verwaltung und Sicherheit der Windows-Familie. In diesem Artikel zeige ich Ihnen, wie SUS arbeitet und wie Sie die verschiedenen SUS-Komponenten installieren und konfigurieren. In Teil 2 werde ich Ihnen komplexere SUS-Konfigurationen zeigen. Z.B. solche, über die Sie die Update-Installationsaktivitäten verfolgen, Bandbreitenanforderungen regeln und die Erweiterbarkeit berücksichtigen können.

Zum SeitenanfangZum Seitenanfang

Die Grundlagen

SUS bietet einen Weg, kritische Updates (Hotfixes, die nicht sicherheitsbezogene Fehler beheben) und kritische Sicherheitsupdates über das Netzwerk auf Computer zu verteilen. Es ist kein physikalischer Zugriff auf den Computer, oder das Schreiben von Scripts erforderlich. SUS ist ziemlich flexibel. Sie behalten die Kontrolle darüber, welche Updates verteilt werden, wann diese verteilt werden, und auf welche Computer sie installiert werden. SUS verteilt keine Servicepacks. Das Fehlen dieser Möglichkeit stellt für Active Directory Domänen jedoch kein Problem dar. Seit Windows 2000 Service Pack 1 (SP1) bietet Microsoft die Möglichkeit, Servicepacks über IntelliMirror und Gruppenrichtlinien zu installieren. Mit IntelliMirror und SUS können Sie Windows XP und Windows 2000 Computer automatisch auf dem neusten Stand halten.

SUS ist nicht perfekt. Es hat einige Beschränkungen:

SUS unterstützt keine Windows NT- oder Windows 9x-Computer.

SUS unterstützt die Microsoft Office- oder Microsoft BackOffice-Produkte nicht.

SUS aktualisiert nur das Betriebssystem, den Microsoft IIS und den Microsoft Internet Explorer (IE).

SUS unterstützt im Moment zwar viele Sprachen, jedoch nicht alle Sprachen die von Windows XP und Windows 2000 unterstützt werden.

SUS hat keine Deinstallationsoption zur automatischen Entfernung von verteilten Updates. Daher ist das Testen der Updates vor der Verteilung wichtig. Sie können die Updates natürlich trotzdem über die manuellen Deinstallationsverfahren entfernen.

SUS besteht aus drei Komponenten: SUS - diese wird auf Ihrem Server ausgeführt. Automatische Updates (AU) - sie wird auf den Clientmaschinen ausgeführt, und Gruppenrichtlinieneinstellungen für die AU-Clients in der AD. Der SUS-Server ist im Grunde eine IIS Webseite. Sie werden Webseiten verwenden, um den SUS zu administrieren und zu verwalten. AU-Clients verwenden Webseiten, um sich die Updates herunterzuladen. Microsoft hinterlegt die Updates auf seinen Windows Update-Servern. Der Windows Update Synchronisation Dienst des SUS führt die periodische Synchronisation zwischen dem SUS und den Windows Update Servern von Microsoft durch.

AU-Clients verwenden http um mit einem SUS-Server zu kommunizieren. Der SUS-Server verwendet ebenfalls http, um in regelmäßigen Abständen auf die Windows Update Server zuzugreifen, und die Datenbank der zur Verfügung stehenden Updates zu synchronisieren. Diese Datenbank wird Katalog genannt. Sie können eine Katalogsynchronisation auf Ihre Anforderung hin starten, oder diese planen. Der Katalog enthält nicht die aktuellen Updates. Er enthält eine Beschreibung der Updates und Informationen, welche die AU-Clients benötigen, um festzustellen ob ein Update für eine Windows XP oder Windows 2000 Installationen anwendbar ist.

Sie können den SUS-Server so konfigurieren, dass er die Updates für die von Ihnen gewählten Sprachen herunterlädt und installiert, oder Sie können die Updates auf den Windows Update Servern belassen. In diesem Fall laden sich die AU-Clients selbst die Updates herunter und installieren diese. Egal welche Konfiguration Sie verwenden, SUS prüft auf jeden Fall vor dem Herunterladen und Installieren alle Updates mit Hilfe des öffentlichen Zertifikats von Microsoft. Dies verhindert, dass Betrüger schädlichen Programmcode auf Ihren Computern einschleusen.

Obwohl das Herunterladen und die Installation in vielen Programmen in einem Schritt passiert, handelt es sich beim SUS in diesem Punkt um zwei getrennte Prozesse. Nehmen wird z. B. einmal an, Sie möchten, dass die AU-Clients die Updates herunterladen und installieren. Die AU-Clients prüfen Ihren SUS-Server regelmäßig auf neue genehmigte Updates. Wenn der AU-Client ein notwendiges Update erkennt, startet er das Herunterladen, indem er eine Verbindung mit dem entsprechenden Windows Update Server aufbaut. Sie können den AU-Client so konfigurieren, dass er das Update automatisch herunterlädt und installiert. Alternativ kann er aber auch den Benutzer drüber benachrichtigen, dass ein Update zum Herunterladen zur Verfügung steht. In diesem Fall wartet der AU-Client darauf, dass der Benutzer das Herunterladen startet.

Wenn der AU-Client das Update in einen temporären Ordner heruntergeladen hat, beginnt der Installationsprozess. Der AU-Client prüft als erstes die Einstellungen, die Sie für den Zeitpunkt der Installation konfiguriert haben. Sie können den AU-Client so konfigurieren, dass er Updates automatisch nach einem von Ihnen festgelegten Zeitplan installiert. Der AU-Client kann aber auch den Benutzer über die zur Installation verfügbaren Updates Informieren. Er wartet dann darauf, dass der Benutzer die Installation startet. Wenn notwendig startet der AU-Client nach der Installation eines Updates den Computer neu. Wenn in diesem Moment ein Benutzer angemeldet ist, gibt der AU-Client diesem 5 Minuten Zeit, seine oder ihre Arbeit zu sichern, alle Programme zu schließen und sich abzumelden. Dann startet der AU-Client den Computer neu. Da der AU-Client das Qchain-Tool verwendet, ist auch bei der Installation von mehreren Updates nur ein Neustart erforderlich.

Zum SeitenanfangZum Seitenanfang

SUS installieren

Da Sie nun die Grundlagen von SUS kennen, lassen Sie uns eine einfache SUS-Installation in einer AD-Domäne betrachten. Um SUS verwenden zu können, benötigen Sie einen Server auf dem SUS ausgeführt wird. AD Domänencontroller und Maschinen auf denen der Microsoft Small Business Server (SBS) ausgeführt wird, können nicht als SUS-Server verwendet werden.

Der SUS-Server, die Domänencontroller und die Arbeitsstationen über die SUS verwaltet wird, benötigen Windows 2000 SP2 oder höher und IE 5.5 oder höher. Der SUS-Server benötigt zusätzlichen IIS 5.0 oder höher. Sie können SUS auf IIS-Servern die schon eine Webseite hosten installieren. SUS kann mit anderen Webseiten koexistieren, da SUS nur drei IIS-Komponenten nutzt: Den Ordner "gemeinsame Dateien", das Snap-In Internet Information Services für die Microsoft Management Konsole (MMC), und den World Wide Web Server.

Typischerweise wird SUS in der Standard-Webseite installiert. Wenn Sie keine Standard-Webseite haben oder eine andere Webseite an Port 80 gebunden ist, lesen Sie Anhang A im Whitepaper 'Deploying Microsoft Software Update Services' von Microsoft. Um auf dieses Whitepaper zuzugreifen klicken Sie auf den Link "Software Update Services Deployment" auf der Software Update Services Webseite unter: http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp (englischsprachig).

Die SUS-Webseite bietet auch einen Link zum Herunterladen des SUS. Nachdem Sie den SUS heruntergeladen haben, starten Sie den Installationsassistenten über die Datei sussetup.msi. Nach der Willkommensseite und der Endbenutzervereinbarung (EULA) wählen Sie Standartinstallation und klicken auf Weiter . Wenn der Assistent die URL des SUS-Servers anzeigt, notieren Sie diese. Sie benötigen diese URL, um die AU-Clients zu konfigurieren. Klicken Sie dann auf Installieren .

Während der Installation führt SUS das IIS Lockdown Tool aus, um den IIS auf dem SUS-Server abzusichern. Dieses Tool verhindert, dass ein Eindringling über den SUS-Server auf die AU-Clients zugreift. Das IIS Lockdown Tool deaktiviert alle Optionen, die Sicherheitsrisiken darstellen. Daher könnten existierende Webanwendungen nach diesem Vorgang nicht mehr korrekt funktionieren. Wenn Ihr SUS-Server andere Webanwendungen hostet, und diese Anwendungen von Komponenten wie z. B. WebDAV (WWW Distributed Authoring and Versioning), Microsoft FrontPage Servererweiterungen oder FTP abhängig sind, könnten sich Probleme ergeben. Wenn Sie SUS parallel zu diesen Anwendungen installieren, müssen Sie eventuell nach der Installation verschiedene Optionen reaktivierten. Eine komplette Beschreibung aller Änderungen, die SUS am IIS vornimmt, finden Sie im Anhang A des Whitepapers 'Deploying Microsoft Software Update Services'.

Als letztes zeigt der Assistent die Fertigstellungsseite und die URL der SUS Administrationswebseite an. Notieren Sie Sich diese URL. Sie benötigen sie zukünftig um den SUS-Server zu administrieren.

Zum SeitenanfangZum Seitenanfang

Den SUS-Server konfigurieren

Der nächste Schritt ist die Konfiguration des SUS-Servers. Über die Konfiguration des SUS-Servers können Sie festlegen, wie oft der SUS-Server eine Synchronisation mit den Windows Update Servern durchführt, und welche Updates zu Verteilung freigegeben sind.

Sie könnten den SUS-Server von jedem Netzwerkcomputer mit IE 5.5 oder höher aus konfigurieren. Öffnen Sie den IE-Browser und geben Sie entweder einen NetBIOS-Namen (z. B. //server/SUSAdmin) oder einen DNS-Namen (z. B. //server.acme.com/SUSAdmin) als URL an. Die in Abbildung 1 gezeigte Willkommensseite wird angezeigt. Im linken Bereich sehen Sie verschiedene wichtige Links, unter anderem den Link Set Options , den Link Syncronize Server und den Approve Updates Link.

Bild

Abbildung 1: Die SUS-Administrations Willkommensseite.

Der Link Set Options. Wenn Sie auf diesen Link klicken, wird die Optionen-Seite angezeigt. Hier werden 5 Abschnitte angezeigt:

Im Abschnitt Select a proxy server configuration müssen Sie angeben, ob Sie einen Proxy-Server verwenden möchten. Wenn aus Ihrem Netzwerk nur über einen Proxy-Server auf das Internet zugegriffen werden kann, können Sie den SUS-Server so konfigurieren, dass er den Proxy-Server zum Zugriff auf die Windows Update Server verwendet, und sich an diesem auch authentifiziert. In diesem Beispiel wählen Sie jedoch bitte die Option Do not use a proxy server to access the Internet.

Im Abschnitt Specify the name your clients use to locate this update server können Sie, wenn notwendig, den Namen Ihres SUS-Servers bearbeiten. Als Voreinstellung steht im Feld Servername der NetBIOS Names des SUS-Servers. Wenn Sie die NetBIOS-Namensauflösung für Ihr Netzwerk deaktiviert haben, können Sie diesen allerdings auch in einen DNS-Namen oder eine IP-Adresse ändern. Sie müssen dann allerdings den SUS-Servernamen auch in der AU-Clientkonfiguration ändern. Warum Sie die Einstellungen im Server und im Client ändern müssen ist leider unklar.

Im Abschnitt Select which server to synchronize content from müssen Sie die Quelle angeben, mit dem sich Ihr SUS-Server synchronisieren soll. Sie haben zwei Möglichkeiten: Die Option Synchronize directly from the Microsoft Windows Update servers, welche die Voreinstellung ist, und die Option Synchronize from a local Software Update Services server, über die Sie Ihren SUS-Server z. B. aus Gründen der Skalierbarkeit mit einem anderen SUS-Server synchronisieren lassen können. Wenn Sie mit einem anderen SUS-Server synchronisieren, müssen Sie den NetBIOS- oder DNS-Namen dieses SUS-Server eingeben. Sie haben außerdem noch die Option Synchronize list of approved items updated from this location (replace mode) zur Verfügung. Wenn Sie diese Option wählen, wird der SUS-Server nicht nur seinen eigenen Katalog synchronisieren, sondern nutzt auch die Liste der freigegebenen Updates des anderen Servers.

Im Abschnitt Select how you want to handle new versions of previously approved updates können Sie angeben, was mit neuen Versionen von Updates geschehen soll. Manchmal wird ein Fehler in einem Update festgestellt, und Microsoft muss dieses erneut veröffentlichen. Was passiert, wenn Sie dieses Update schon freigegeben haben? Möchten Sie, dass der SUS die AU-Clients anweist automatisch die neue Version zu installieren? In diesem Fall wählen Sie die Option Automatically approve new versions of previously approved updates. Wenn Sie jedoch möchten, dass der SUS die neue Version des Updates wie ein neues Update behandelt und darauf wartet, dass Sie dieses freigeben, dann wählen Sie die Option Do not automatically approve new versions of previously approved updates. I will manually approve these later.

Im Abschnitt Select where you want to store updates geben Sie an, wo die Updates gespeichert werden sollen. Bedenken Sie, dass SUS den Katalog immer herunterlädt. Sie können aber kontrollieren, ob die Updates auf den SUS-Server heruntergeladen, oder auf dem Windows Update Server belassen werden sollen. Bei diesem Beispiel wählen Sie die Option Maintain the updates on a Microsoft Windows Update server. (Wenn Sie möchten, dass der SUS-Server die Updates herunterlädt, wählen Sie die Option Save the updates to a local folder. Wählen Sie danach die Sprachen aus, für die Sie die Updates erhalten möchten.)

Nachdem Sie in diesen fünf Abschnitten die gewünschten Optionen ausgewählt haben, klicken Sie auf Apply, um diese zu speichern. Jetzt können Sie den SUS-Synchronisationszeitplan konfigurieren und die Updates, die Sie verteilen möchten, freigeben.

Der Link Synchronize server. Wenn Sie auf den Link Synchronize server klicken, öffnet sich die Seite Synchronize server . Auf dieser Seite haben Sie zwei mögliche Optionen: Synchronize now , mit der Sie eine sofortige Synchronisation manuell anstoßen können, und Schedule Synchronization , mit der Sie einen Plan für die automatische Synchronisation erstellen können. Klicken Sie auf Schedule Synchronization . Wie Sie in der Abbildung 2 sehen können, haben Sie die Möglichkeit eine Synchronisation nur auf Ihre Anforderung zu starten (also keinen Zeitplan zu konfigurieren), eine tägliche Synchronisation zu einer bestimmten Uhrzeit zu konfigurieren, oder einmal pro Woche an einem bestimmten Tag zu einer bestimmten Uhrzeit zu synchronisieren. Wenn Sie Sich entscheiden einen Zeitplan zu erstellen, schlage ich vor, dass Sie die vorgegebene Uhrzeit (z. B. 3:00 Uhr) ändern - die Windows Update Server werden möglicherweise zu dieser Zeit sehr ausgelastet sein, da alle SUS-Server mit der Standartkonfiguration zu dieser Zeit anfragen stellen. Sie können ebenfalls die Anzahl von erneuten Versuchen einstellen, die der SUS-Server vornimmt wenn ein Synchronisationsversuch fehlschlägt. Die Voreinstellung ist drei Versuche. Der SUS wartet jeweils 30 Minuten zwischen den Versuchen ab.

Bild

Abbildung 2: Das Dialogfenster Synchronisationszeitplan.

Als Übung können Sie den SUS für eine tägliche Synchronisation zum 1:00 nachts konfigurieren, und auf OK klicken. Beachten Sie, dass die Seite Synchronize server nun Datum und Uhrzeit der nächsten geplanten Synchronisation anzeigt. Klicken Sie als nächstes auf den Schalter Synchronize . SUS zeigt das System mit dem es synchronisiert, und den Fortschritt dieser Synchronisation, an.

Der Link Approve updates. Wenn Sie auf diesen Link klicken, können Sie sich eine Liste aller Updates im Katalog anzeigen lassen, und den Status dieser Updates konfigurieren. Dies ist in Abbildung 3 zu sehen. Sie können die Liste nach Datum des Updates, Titel, Plattform (Windows XP oder Windows 2000) oder Status sortieren. Ein Update kann die Stati Approved (Freigegeben zur Verteilung auf die entsprechenden AU-Clients), not Approved , New (ein gerade heruntergeladenes Update, das noch nicht freigegeben wurde), Updated (eine neue Version eines bereits veröffentlichten Updates) oder Unavailable (Update kann im Moment nicht heruntergeladen werden) haben.

Bild

Abbildung 3: Das Dialogfenster "Updates freigeben".

Wenn Sie die Liste der Updates in Abbildung 3 durchgehen, werden Sie sehen, dass ich alle IE Sicherheitsupdates, die zu Q321232 gehören, freigegeben habe. Diese umfassen den IE 6.0 für Windows XP, IE 6.0 für Windows 2000, IE 5.5 SP2, IE 5.5 SP1 und IE 5.01. Auch wenn ich alle Updates freigegeben habe, wird jeder AU-Client nur das installieren, das seiner IE-Version entspricht.

Um ein oder mehrere Updates freizugeben, markieren Sie das Kontrollkästchen neben dem Update und klicken dann auf Approve . Wenn das Dialogfeld zu Bestätigung erscheint, klicken Sie auf Yes . Der SUS zeigt dann ein Dialogfenster an, in dem die ausgewählten Updates aufgeführt werden, und verlangt von Ihnen die Akzeptierung der EULA dieser Updates. Abhängig von Ihrer Bildschirmauflösung und Ihren Browsereinstellungen könnte es sein, dass die Schalter Accept und Don't Accept nicht angezeigt werden. Das passiert, wenn das Dialogfenster zu klein ist um alle Updates anzuzeigen. Sie können das Dialogfenster leider nicht vergrößern. Sie können allerdings den Mauszeiger auf das Listenfeld positionieren, und die Tabulatortaste drücken. Hierdurch werden die beiden Schalter sichtbar. Klicken Sie auf Accept, um die Updates zur Verteilung an die AU-Clients freizugeben.

Zum SeitenanfangZum Seitenanfang

Die AU-Clients installieren

Damit die Netzwerkcomputer in der Lage sind Updates vom SUS-Server zu empfangen, müssen Sie auf diesen den AU-Client installieren. Sie können dies über zwei verschiedene Wege machen:

Sie können Ihre Windows XP Computer auf SP1, und Ihre Windows 2000 Computer auf SP3 aktualisieren. Hierdurch wird der AU-Client automatisch installiert.

Sie können Sich den AU-Client von der Software Update Services Webseite als Einzelkomponente herunterladen.

Egal welchem Weg Sie folgen, Sie können eine Gruppenrichtlinie und AD verwenden, um die Installation zu automatisieren. Weitere Informationen über die Installation des AU als Teil des Windows 2000 SP3 erhalten Sie im Dokument 'How to Programmatically Install AU When It's Part of a Service Pack' (englischsprachig) unter http://www.secadministrator.com/ . Weitere Informationen über die Installation des AU-Clients als eigenständige Komponente erhalten Sie im Whitepaper 'Deploying Microsoft Software Update Services' (englischsprachig).

Zum SeitenanfangZum Seitenanfang

Die AU-Clients konfigurieren

Nach der Installation des AU müssen Sie die Clients konfigurieren. Über diese Konfiguration können Sie steuern, wann und wie die Clients sich die freigegebenen Updates herunterladen und diese installieren.

Die AU-Clientkonfiguration besteht nur aus der Änderung einiger Registrierungswerte. Trotzdem möchten Sie diese Werte sicher nicht manuell ändern. Erst recht nicht, wenn sie eine Menge Computer haben. Zum Glück können Sie die AU-Clients über eine Gruppenrichtlinie konfigurieren. Da diese Registrierungseinstellungen neu sind, könnte es sein, dass Sie sie nicht im Gruppenrichtlinienobjekt (GPO) angezeigt werden. Dies hängt davon ab welches Servicepack, auf der Arbeitsstation die Sie verwenden, installiert ist. Wenn Sie das GPO auf einem Computer unter Windows 2000 SP3 bearbeiten, werden die Einstellungen angezeigt. Bei allen anderen Windows 2000 Computern müssen Sie entweder das SP3 installieren, oder per Hand eine neue administrative Vorlage importieren. Um eine administrative Vorlage per Hand zu importieren gehen Sie wie folgt vor:

1.

Im Gruppenrichtlinieneditor erweitern Sie Computerkonfiguration und klicken mit der rechten Maustaste auf Administrative Vorlagen . Wählen Sie Vorlagen hinzufügen/entfernen und klicken Sie auf Hinzufügen . Wechseln Sie zum Verzeichnis \%windir%\inf eines Computers auf dem Sie entweder SP3, oder den AU-Client installiert haben. Markieren Sie die Datei wuau.adm , klicken Sie auf Öffnen und klicken Sie auf Schließen .

2.

Im Gruppenrichtlinieneditor erweitern Sie Computerkonfiguration / Administrative Vorlagen / Windows Komponenten / Windows Updates . Klicken Sie auf den Ordner Windows Update . Im rechten Bereich des Fensters sehen Sie zwei Richtlinien Automatische Updates konfigurieren und Microsoft Update Service im Intranet spezifizieren .

3.

Klicken Sie doppelt auf die die Richtlinie Automatische Updates konfigurieren . Im Eigenschaftsfenster (siehe Abbildung 4) wählen Sie dann Aktiviert . Im Auswahlfeld Automatische Updates konfigurieren wählen Sie einer der folgenden Optionen:

2 - Bei Herunterladen und Installation Benachrichtigen

3 - Automatisch herunterladen und bei Installation benachrichtigen

4 - Automatisch herunterladen und Installation planen

Bild

Abbildung 4: Das Dialogfenster "Automatische Updates konfigurieren".

Die Optionen 2 und 3 lassen dem lokalen Administrator die Kontrolle darüber, wann Updates heruntergeladen und installiert werden. Wenn ein Administrator angemeldet ist, und Updates zum Herunterladen oder zur Installation bereit stehen, benachrichtigt der AU-Client den Administrator. Wenn der Administrator auf die Benachrichtigung klickt, öffnet der AU-Client ein Dialogfenster in dem der Benutzer auf Später erneut erinnern oder Installieren klicken kann.

Mit der Option 4 können Sie den AU-Client so konfigurieren, dass die entsprechenden Updates zu einer bestimmten Uhrzeit, oder an einem bestimmten Tag zu einer bestimmten Uhrzeit installiert werden. AU-Clients prüfen regelmäßig, ob auf dem SUS-Server neue freigegebene Updates zur Verfügung stehen. Wenn ein AU-Client ein neues passendes und freigegebenes Update findet, lädt er dies von SUS-Server oder dem Windows Update Server in einen temporären Ordner herunter. Der AU-Client beschränkt den Download dabei so, dass die Geschwindigkeit des Netzwerkes nicht beeinflusst wird. Der AU-Client kann unterbrochene Downloads fortführen. Nachdem die Updates in einem temporären Ordner vorliegen, wartet der AU-Client mit der Installation der Updates bis zum nächsten geplanten Installationszeitpunkt.

Nachdem Sie die Konfiguration der Richtlinie abgeschlossen haben klicken Sie auf OK.

Klicken Sie doppelt auf die Richtlinie Microsoft Update Service im Intranet spezifizieren. In dem Eigenschaftsfenster das in Abbildung 5 dargestellt ist, klicken Sie auf Aktiviert. Im Eingabefeld Den Intranet Updatedienst zur Erkennung von Updates konfigurieren geben Sie die URL ein, die Sie vorhin notiert haben (z. B. die URL des SUS-Servers, den der Client regelmäßig auf neue Updates prüfen soll). Im Eingabefeld Statistikserver im Intranet geben Sie die URL des IIS-Servers ein, der die Aktivitäten des Clients protokolliert (normalerweise die gleiche wie im anderen Feld). Klicken Sie auf OK, und schließen Sie den Gruppenrichtlinieneditor.

Bild

Abbildung 5: Das Dialogfenster "Microsoft Update Service im Intranet spezifizieren".

Sorgen Sie dafür, dass die Gruppenrichtlinie neu angewandt wird. Computer wenden die Gruppenrichtlinien alle 90 Minuten, zuzüglich eines zufälligen Zeitraums von 0 bis 30 Minuten, erneut an. Daher könnte es sein, dass Sie bis zu zwei Stunden warten müssen bis die Computer Ihrer Domäne den SUS-Server auf freigegebene Updates überprüfen. Um eine umgehende erneute Anwendung der Gruppenrichtlinien auf einer Windows 2000 Maschine durchzusetzen, melden Sie Sich am Computer an, öffnen eine Eingabeaufforderung, und führen folgenden Befehl aus:

secedit /refreshpolicy machine_policy

Der Computer sollte nun anfangen, alle von Ihnen freigegebenen Updates herunterzuladen. Wenn Sie eine Windows XP Maschine verwenden, führen Sie stattdessen den Befehl gpupdate ohne Parameter aus.

Da Sie den SUS-Server nur für die Synchronisation des Kataloges konfiguriert haben, werden Ihre AU-Clients die Updates vom Windows Update Server herunterladen. Wenn Sie später den Computer überprüfen, öffnen Sie in der Systemsteuerung den Punkt Software . Sie sollten die installierten Updates nun angezeigt bekommen.

Zum SeitenanfangZum Seitenanfang

Sparen Sie sich Fußmärsche

Herzlichen Glückwunsch - Sie haben den SUS erfolgreich eingerichtet. In Zukunft brauchen Sie nur noch die Updates freigeben, und um den gesamten Rest kümmert sich der SUS. Wenn neue Servicepacks veröffentlicht werden, können Sie diese über IntelliMirror verteilen. Mit IntelliMirror und SUS können Sie Sicherheitsupdates automatisch und schnell über Ihr Netzwerk verteilen, ohne sich Löcher in die Schuhsohlen zu laufen.

© 2002 Security Administrator . Alle Rechte vorbehalten.

Eine Testausgabe des monatliche erscheinenden Newsletters Security Administrator erhalten Sie unter: http://www.secadministrator.com/ (englischsprachig).

Bleiben Sie mit Security UPDATE , einem kostenlosen Newsletter für den Sicherheitsbereich auf dem neusten Stand. Sie können diesen Newsletter hier abonnieren:
http://email.winnetmag.com/winnetmag/winnetmag_prefctr.asp (englischsprachig).

Wir bei Microsoft hoffen, dass die Informationen in diesem Dokument für Sie nützlich sind. Sie nutzen die Informationen in diesem Dokument allerdings auf eigenes Risiko. Alle Informationen in diesem Dokument werden ohne jegliche Garantie, weder ausdrücklich noch implizit, zu Korrektheit, Vollständigkeit, Funktionstüchtigkeit im Bezug auf bestimmte Zwecke, Urheberrechte oder Urheberrechtsverletzungen, Drittanbieterprodukten oder Informationen der in diesem Dokument durch die Microsoft Corporation genannten Vorschlägen, Garantien, Unterstützungen und Urheberrechten zur Verfügung gestellt. Die Microsoft Corporation haftet weder direkt, indirekt, speziell, als Nebeneffekt oder als Konsequenz für eventuelle Schäden, die Sie durch die Verwendung dieser Informationen erleiden. Auch dann nicht, wenn auf die Möglichkeit solcher Schäden hingewiesen wurde. Alle in diesem Dokument genannten Produktpreise können sich ohne weitere Hinweise ändern.

Randy Franklin Smith
Randy Franklin Smith ist mitwirkender Redakteur von Windows IT Pro, Fachmann für Informationssicherheit und CEO bei der Monterey Technology Group. Er ist SSCP und unterrichtet den Monterey Technology Group's Ultimate Windows Security Kurs.
Weitere Informationen zu Randy Franklin Smith finden Sie hier (engl.).
Seine Email-Adresse lautet: randy@winsecanswers.com


Zum SeitenanfangZum Seitenanfang